Dziękujemy za wysłanie zapytania! Jeden z członków naszego zespołu skontaktuje się z Państwem wkrótce.
Dziękujemy za wysłanie rezerwacji! Jeden z członków naszego zespołu skontaktuje się z Państwem wkrótce.
Plan Szkolenia
1. Koncepcje i zakres analizy statycznej kodu
- Definicje: analiza statyczna, SAST, kategorie reguł i ich ważność
- Zakres analizy statycznej w bezpiecznym SDLC i pokrycie ryzyka
- Jak SonarQube wpisuje się w kontrolę bezpieczeństwa i przepływy pracy deweloperów
2. Przegląd SonarQube: Funkcje i architektura
- Główne usługi, baza danych i komponenty skanera
- Bramki jakości, profile jakości i najlepsze praktyki dotyczące bramek jakości
- Funkcje związane z bezpieczeństwem: luki, reguły SAST i mapowanie CWE
3. Nawigacja i korzystanie z interfejsu użytkownika serwera SonarQube
- Przegląd interfejsu użytkownika: projekty, problemy, reguły, miary i widoki zarządzania
- Interpretacja stron problemów, śledzenie i wskazówki dotyczące naprawy
- Generowanie i eksport raportów
4. Konfiguracja SonarScanner z narzędziami do budowania
- Konfiguracja SonarScanner dla Maven, Gradle, Ant i MSBuild
- Najlepsze praktyki dotyczące właściwości skanera, wykluczeń i projektów wielomodułowych
- Generowanie niezbędnych danych testowych i raportów pokrycia dla dokładnej analizy
5. Integracja z Azure DevOps
- Konfiguracja połączeń usługi SonarQube w Azure DevOps
- Dodawanie zadań SonarQube do Azure Pipelines i dekoracja PR
- Importowanie Azure Repos do SonarQube i automatyzacja analiz
6. Konfiguracja projektu i analizatory innych firm
- Profile jakości na poziomie projektu i wybór reguł dla Java i Angular
- Praca z analizatorami innych firm i cykl życia wtyczek
- Definiowanie parametrów analizy i dziedziczenie parametrów
7. Role, odpowiedzialności i przegląd metodologii bezpiecznego rozwoju
- Podział ról: deweloperzy, recenzenci, DevOps, właściciele bezpieczeństwa
- Tworzenie macierzy ról i odpowiedzialności dla procesów CI/CD
- Przegląd i proces rekomendacji dla istniejącej metodologii bezpiecznego rozwoju
8. Zaawansowane: Dodawanie reguł, dostosowywanie i wzmacnianie globalnych funkcji bezpieczeństwa
- Korzystanie z API SonarQube do dodawania i zarządzania własnymi regułami
- Dostosowywanie bramek jakości i automatyczne egzekwowanie polityk
- Wzmacnianie bezpieczeństwa serwera SonarQube i najlepsze praktyki kontroli dostępu
9. Praktyczne sesje laboratoryjne (stosowane)
- Laboratorium A: Konfiguracja SonarScanner dla 5 repozytoriów Java (Quarkus tam, gdzie ma zastosowanie) i analiza wyników
- Laboratorium B: Konfiguracja analizy Sonar dla 1 front-endu Angular i interpretacja wyników
- Laboratorium C: Pełne laboratorium potoku — integracja SonarQube z potokiem Azure DevOps i włączenie dekoracji PR
10. Testowanie, rozwiązywanie problemów i interpretacja raportów
- Strategie generowania danych testowych i pomiaru pokrycia
- Typowe problemy i rozwiązywanie błędów skanera, potoku i uprawnień
- Jak czytać i prezentować raporty SonarQube technicznym i nietechnicznym interesariuszom
11. Najlepsze praktyki i rekomendacje
- Wybór zestawu reguł i strategie stopniowego egzekwowania
- Rekomendacje dotyczące przepływów pracy dla deweloperów, recenzentów i potoków budowania
- Plan wdrażania SonarQube w środowiskach przedsiębiorstw
Podsumowanie i kolejne kroki
Wymagania
- Zrozumienie cyklu życia rozwoju oprogramowania
- Doświadczenie w kontroli źródła i podstawowe pojęcia CI/CD
- Znajomość środowisk programistycznych Java lub Angular
Grupa docelowa
- Deweloperzy (Java / Quarkus / Angular)
- Inżynierowie DevOps i CI/CD
- Inżynierowie bezpieczeństwa i recenzenci bezpieczeństwa aplikacji
21 godzin
Opinie uczestników (1)
Angażujący i praktyczny.
Balavignesh Elumalai - Scottish Power
Szkolenie - SonarQube for DevOps
Przetłumaczone przez sztuczną inteligencję
